Vollständige Virenbeschreibung

Name:	Worm/Eyeveg.K
Entdeckt am:	06/09/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	58.880 Bytes
MD5 Prüfsumme:	0c727229149436faa464059e9271ecfa
VDF Version:	6.31.1.226
Heuristik:	Heuristic/Backdoor.Generic

Allgemein Verbreitungsmethode:
   • Email

Aliases:
   • Mcafee: W32/Eyeveg.worm.gen
   • Kaspersky: Worm.Win32.Eyeveg.k
   • TrendMicro: WORM_WURMARK.O
   • F-Secure: UNKNOWN VIRUS
   • VirusBuster: Worm.Eyeveg.G1
   • Eset: Win32/Eyeveg.P

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP

Auswirkungen:
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\%zufällige Buchstabenkombination%.exe

Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:
– An: %SYSDIR%\ Mit einem der folgenden Namen:
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

Das Archiv enthält eine Kopie der Malware.

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %TEMPDIR%\%zufällige Buchstabenkombination%.tmp
   • %TEMPDIR%\%zufällige Buchstabenkombination%.tmp

– %SYSDIR%\%zufällige Buchstabenkombination%.dll
– %SYSDIR%\%zufällige Buchstabenkombination%.dll Diese Datei enthält gesammelte Tastatureingaben.

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • www.melanie**********.biz/cb
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "%zufällige Buchstabenkombination%"="%zufällige Buchstabenkombination%.exe"

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)

Betreff:
Eine der folgenden:
   • screensaver
   • song
   • music
   • video
   • photo
   • girls
   • pic
   • message
   • image
   • news
   • details
   • resume
   • love
   • readme

Body:
– Der Body ist leer.

Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

Der Dateianhang ist eine Kopie der Malware.

Die Email sieht wie folgt aus:

Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .ASP
   • .DBX
   • .EML
   • .HTM
   • .MBX
   • .SHT
   • .TBB

Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • abuse; admin; alert; localdomain; mcafee; messagelab; noreply;
      pandasoft; postmaster; recipients; report; root; sophos; spam;
      symantec; trendmicro; virus; webmaster

Hintertür Kontaktiert Server:
Den folgenden:
   • www.melanie**********.biz/n2.php

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.
Die Antwort der Servers wird in folgende Datei geschrieben: %HOME%\Local Settings\Temp \%random characters%.tmp

Sende Informationen über:
    • Versteckte Passwörter
    • Informationen über das Netzwerk
    • Benutzername
    • Lokale Aktivität des Benutzers
    • Windowsverzeichnis
    • Information über das Windows Betriebsystem

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Datei ausführen
    • Prozess abbrechen
    • Emails verschicken
    • Datei Hinaufladen

Diebstahl Es wird versucht folgende Information zu klauen:
– Aufgezeichnete Passwörter welche von der AutoComplete Funktion verwendet werden
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Das Passwort des Programmes:
• OutlookExpress

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Die Beschreibung wurde erstellt von Irina Boldea am Dienstag, 6. September 2005
Die Beschreibung wurde geändert von Irina Boldea am Mittwoch, 14. September 2005

zurück . . . .